支付机构互联网支付业务风险防范指引

支付机构互联网支付业务风险防范指引第一部分总则1.1编写目的为引导成员单位提高互联网支付业务风险防范意识，有效识别、防范互联网支付业务风险，保护成员单位及消费者的合法权益，促进互联网支付业务的健康发展，根据国家法律法规及相关规定，制定本指引。1.2适用范围支付机构互联网支付业务经营活动中的风险识别、防范及处置,应遵循本指引。支付机构是指根据中国人民银行《非金融机构支付服务管理办法》规定，取得《支付业务许可证》，获准办理互联网支付业务的非金融机构。互联网支付业务是指客户通过计算机等设备，依托互联网发起支付指令，实现货币资金转移的行为。1.3基本要求支付机构开展互联网支付业务活动时，应遵循平等竞争、诚实守信、安全可靠、风险可控的原则。支付机构应建立与本机构支付业务规模、模式相适应的2风险防范管理体系。在业务开展过程中，应根据风险状况不断完善防范措施，有效防范用户端与商户端风险。同时应依照有关法律、法规和监管部门规章、规范性文件的规定加强对资金和客户信息安全的管理，严格履行反洗钱、反恐怖融资义务，规范外包业务管理，实现行业内风险信息共享，确保有效识别、评估、监测、控制和处置互联网支付业务风险。第二部分风险管理体系2.1组织架构支付机构应建立与本机构支付业务性质、规模和复杂程度相适应的风险管理组织架构，以有效识别、评估、监测、控制风险。风险管理组织架构至少应包括以下基本要素：a.董事会及其职责；b.高级管理层及其职责；c.风险管理部门及其职责；d.其它相关部门职责等。2.1.1董事会职责董事会对本机构互联网支付业务风险的管理负最终责任，主要职责包括：a.制定与本机构战略目标相一致且适用于本机构的风险管理战略和总体政策；b.通过审批及检查高级管理层的风险管理职责、权限及报告制度，确保本机构风险管理决策体系的有效性，尽可能确保将本机构各项业务面临的风险控制在可以承受的范围内；c.定期审阅高级管理层提交的风险报告，充分了解本机构风险管理的总体情况、高级管理层处理重大风险事件的有效性以及监控和评价日常风险管理的有效性；d.确保高级管理层采取必要的措施有效地识别、评估、监测和控制风险；e.批准内部审计部门提交的风险管理体系运行效果的审计报告，确保本机构风险管理体系接受内审部门的有效审查与监督；f.制定适当的奖惩制度，有效推动本机构风险管理体系的建立完善。g.风险管理其他重大事项。未设董事会的支付机构由执行董事或高级管理层履行相关职责。2.1.2高级管理层职责高级管理层负责执行董事会批准的风险管理战略及政策。主要职责包括：a.在风险的日常管理方面，对董事会负责；b.负责制定、定期审查和监督执行风险管理的政策、程序和操作规程，并定期向董事会提交风险总体情况的报告；4c.审阅风险管理职能部门提交的风险管理报告，充分了解机构风险管理的总体情况，重大风险事件处理机制及日常风险监控、评价的有效性；d.界定各部门风险管理职责及风险管理报告的路径、频率、内容，督促各部门切实履行风险管理职责，以确保风险管理体系的正常运行；e.为风险管理配备适当的资源，包括但不限于提供必要的经费、设置必要的岗位、配备合格的人员、开展风险管理培训等；f.及时对风险管理体系进行检查和修订，以便有效地应对因内部程序、产品、业务活动、信息技术系统、员工及外部事件和其他因素发生变化造成的风险损失事件。高级管理人员，包括总经理、副总经理、财务负责人、技术负责人或实际履行上述职责的人员。2.1.3风险管理部门职责支付机构应设立或指定专门部门负责风险管理体系的建立和实施，及风控措施的审批和执行。专职部门应直接对高级管理层负责并与其他部门保持相对独立，以保证风险管理的一致性和有效性。主要职责包括：a.具体指导和协调本机构的风险管理工作；b.拟定本机构风险管理制度、程序和操作规程，提交高级管理层审批；c.建立风险识别、评估、监测、控制方法及报告程序，并组5织实施；d.建立跨部门联合工作机制，协调、解决风险管理工作中的重大问题，组织跨部门的应急联动机制和应急预案的演练工作；e.定期检查、分析相关部门风险管理情况，确保风险管理制度和措施得到有效落实；f.定期向高级管理层提交风险管理报告；g.为各相关部门提供风险管理培训，协助其履行风险管理职责、提高风险管理水平。2.1.4其他相关部门职责风险管理相关部门包括：业务部门、信息科技部门、内审部门、合规部门、客服部门等。上述部门根据职责分工对所负责的风险管理工作负直接责任。主要职责包括：a.执行风险管理的政策、程序和操作规程；b.依据本机构风险管理和内部控制的要求，制定本部门的业务制度、流程和应急预案，确保与风险管理总体政策的一致性；c.监测重点风险，定期向风险管理职能部门通报本部门风险管理的总体状况，并及时报告风险事件。内审部门不直接负责或参与其他部门的风险管理，但应定期审计本机构的风险管理体系运作情况，监督检查风险管理政策的执行情况，对新出台的风险管理政策、程序和具体的操作规程进行独立评估，并向董事会和高级管理层报告风险管理体系运行效6果的审计报告，跟踪、督导审计发现问题的整改工作。2.2风险管理制度与内部控制支付机构应依据国家相关法律法规，按照审慎经营的原则，建立健全风险管理制度和内部控制机制。2.2.1风险管理制度支付机构风险管理制度应满足全面性、有效性原则，包括但不限于以下方面：a.业务管理；b.用户管理；c.商户管理；d.资金安全管理；e.系统信息安全管理；f.反洗钱和反恐怖融资管理；g.风险事件及应急管理。2.2.2内部控制2.2.2.1内部控制应当体现全面、审慎、有效、独立的原则，主要内容包括：a.内部控制应当贯穿本机构互联网支付业务全过程和全部操作环节，覆盖所有的部门和岗位，并由全体人员参与，所有决策或操作均应有案可查。b.内部控制应以防范风险、审慎经营为出发点，本机构业务经营管理中应体现“内控优先”的要求。7c.内部控制应具有高度的权威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应能够得到及时反馈和纠正。d.内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。2.2.2.2支付机构内部控制应当包括以下要素：a.内部控制环境。b.风险识别与评估。c.内部控制措施。d.信息交流与反馈。e.监督评价与纠正。2.3风险管理方法支付机构应按照风险的类型和特点采用有效的、具有针对性的方法对风险进行监测、分析、评估和处置，对风险事件进行分析、评估和报告。包括：制定有效的风险防范措施，监测关键风险指标，测试和审查内部控制有效性，开展风险评估，进行风险报告，聘请外部中介机构对风险管理体系进行审计和评价等。支付机构应建立风险预警机制，以降低风险事件的发生频率；及时采取有效控制措施，减少风险事件损失；制定适当的程序报告风险状况和重大风险事件，重大风险事件应及时向董事会和高级管理层报告。82.4风险管理系统支付机构应当建立完善风险管理系统，以有效识别、评估、监测、控制和报告风险。该系统应记录和存储与风险损失相关的数据和风险事件信息，支持风险防范和控制措施，监测关键风险指标，并可提供风险报告的有关内容。具备条件的支付机构应建立实时监测系统，用以控制交易风险。业务类型复杂、经营规模较大的支付机构，应建立功能更加全面的风险管理系统，针对各项业务的风险特点实施有效管理。第三部分用户风险及防范3.1用户注册审查3.1.1实名制要求支付机构应根据审慎原则，实名开立用户支付账户，对用户身份信息的真实性负责，不得为用户开立匿名、假名支付账户。支付机构应加强对用户支付账户的管理，为同一用户建立唯一的用户身份识别号，对该用户开立的所有支付账户进行关联、统一管理；对同一用户在同一支付机构开立多个支付账户的，应采取有效措施确保支付账户为同名账户且多个支付账户中登记的用户基本身份信息一致。3.1.2用户身份信息审核支付机构在为用户开立账户时，根据账户开立主体不同，分9为个人支付账户和单位支付账户。个人用户申请开立支付账户时，支付机构应登记其姓名、性别、国籍、职业、住址、联系方式以及有效身份证件的种类、号码和有效期限等身份信息，并对用户姓名、性别、有效身份证件的种类和号码等基本身份信息的真实性进行有效审核。个人用户存在以下情形的，支付机构应核对其有效身份证件，并留存有效身份证件的复印件或者影印件。a.个人用户办理单笔收付金额人民币1万元以上或者外币等值1000美元以上支付业务的；b.个人用户全部账户30天内资金双边收付金额累计人民币5万元以上或外币等值1万美元以上的；c.个人用户全部账户资金余额连续10天超过人民币5000元或外币等值1000美元的；d.通过取得网上金融产品销售资质的支付机构买卖金融产品的；e.中国人民银行规定的其他情形。单位用户申请开立支付账户时，支付机构应登记以下基本信息：a.单位名称、地址、经营范围、税务登记证号码、组织机构代码（按规定无须取得税务登记证或无法取得组织机构代码证的除外）；b.可证明该客户依法设立或者依法开展经营、社会活动的执10照、证件或者文件的名称、号码和有效期限；c.法定代表人（负责人）和授权办理业务人员的姓名、有效身份证件的种类、号码和有效期限。支付机构应核对单位及其法定代表人（负责人）和授权办理业务人员的有效身份证件信息，并留存其复印件或者影印件。有效身份证件是指能够证明用户身份的相关证件。个人用户的有效身份证件，包括：居住在境内的中国公民，为居民身份证或者临时居民身份证；居住在境内的16周岁以下的中国公民，为户口簿；中国人民解放军军人，为军人身份证件或居民身份证；中国人民武装警察，为武装警察身份证件或居民身份证；香港、澳门居民，为港澳居民往来内地通行证；台湾居民，为台湾居民来往大陆通行证或者其他有效旅行证件；外国公民，为护照；政府有权机关出具的能够证明其真实身份的证明文件。法人和其他组织用户的有效身份证件，是指政府有权机关颁发的能够证明其合法真实身份的证件或文件，包括但不限于营业执照、事业单位法人证书、税务登记证、组织机构代码证。个体工商户的有效身份证件，包括营业执照、经营者或授权经办人员的有效身份证件。支付机构可通过与公安机关、工商机关及税务机关等机构的合作，对个人用户及单位用户基本身份信息的真实性进行有效审核。113.1.3用户申请资料保存支付机构应加强对用户身份信息等资料的管理与保存，建立用户身份信息资料的分类、保管、查阅和销毁等管理制度，保证其妥善保管、有序存放、方便查阅，严防灭失、损毁和泄露。支付机构不得以任何形式对外提供用户身份信息等资料，法律法规另有规定或与用户另有约定的除外。用户身份信息等资料，应当由支付机构按照归档要求，以纸质或电子方式妥善保存，保管期限自业务关系结束当年至少保存5年。纸质资料应整理立卷，装订成册，编制会计档案保管清册，电子方式的资料应进行备份，按照系统信息安全管理相关制度的要求妥善保管。对于司法部门正在调查的可疑交易或违法犯罪行为活动涉及用户身份信息等资料，且相关调查工作在前款规定的最低保存期届满时仍未结束的，支付机构应当将其保存至相关调查工作结束。3.2用户服务协议3.2.1服务协议基本内容支付机构为用户开立支付账户的，应在用户申请开立支付账户时签订服务协议。协议内容包括但不限于：a.支付账户的开立、使用、挂失、止付和撤销的条件；b.身份验证和支付授权方式；c.用户对支付机构核验其银行账户信息和身份信息真实性12的授权；d.支付账户使用规则，以及违规使用的处置和责任；e.支付账户资金变动的通知方式；f.发现支付账户被盗用后的通知、处置方式和责任划分；g.用户身份信息和交易信息的保密责任；h.支付机构所提供的支付服务，包括具体的服务种类及产品功能等，及其支付服务的使用限制；i.交易风险提示，包括提示用户注意交易过程中可能存在的风险及风险发生后的相关处理措施；j.知识产权的保护，说明支付机构所享有的知识产权及相关侵权责任;k.业务争议解决方式及免责条款；l.双方的其他权利和义务。3.2.2风险防范内容支付机构与用户签订服务